信息安全等級保護測評技術(shù)標(biāo)準和需求

1、信息安全等級保護測評技術(shù)標(biāo)準和需求為了保障瀏陽市人民醫(yī)院“核心業(yè)務(wù)系統(tǒng)（HIS系統(tǒng)）”安全、穩(wěn)定、可靠、高效的運行，按照相關(guān)的國家、行業(yè)的安全標(biāo)準要求，需要對其進行安全等級保護三級測評。測評內(nèi)容包括：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。通過測評，對照相應(yīng)安全等級保護要求進行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風(fēng)險，制訂出整改措施，出具測評報

2、告。具體內(nèi)容包括：1、對瀏陽市人民醫(yī)院“核心業(yè)務(wù)系統(tǒng)（HIS系統(tǒng)）”的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理共10個層面通過訪談、檢查、測評等方法進行初測評，找出差距、安全漏洞和隱患并分析其風(fēng)險，制訂出整改建議報告。2、對經(jīng)過整改后的信息系統(tǒng)進行回歸測評，并正式形成《信息系統(tǒng)安全等級保護測評報告》。一、測評內(nèi)容包括信息系統(tǒng)技術(shù)安全性測評及信息系統(tǒng)管

3、理安全測評：1、信息系統(tǒng)技術(shù)安全性測評包括但不限于：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全。2、信息系統(tǒng)管理安全測評包括但不限于：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。二、測評具體要求：（一）信息系統(tǒng)技術(shù)安全性測評1、物理安全測評物理安全檢測應(yīng)當(dāng)包含：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護等十個單元。2、網(wǎng)絡(luò)安全測評網(wǎng)路安全

4、測評應(yīng)當(dāng)包含：結(jié)構(gòu)安全、訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等。3、主機安全測評主機安全測評應(yīng)當(dāng)包含：身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等。4、應(yīng)用安全測評應(yīng)用安全測評應(yīng)當(dāng)包含：身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制。5、數(shù)據(jù)安全及備份恢復(fù)測評數(shù)據(jù)安全及備份恢復(fù)測評應(yīng)當(dāng)包含：數(shù)據(jù)完整性、數(shù)據(jù)保密性

5、、備份和恢復(fù)。（二）信息系統(tǒng)管理安全測評1、安全管理制度測評安全管理制度測評應(yīng)當(dāng)包含：管理制度、制定與發(fā)布、審批和修訂。2、安全管理機構(gòu)測評安全管理機構(gòu)測評應(yīng)當(dāng)包含：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。3、人員安全管理測評備份系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)、數(shù)據(jù)安全、安全系統(tǒng)、系統(tǒng)安全策略等。3、服務(wù)提供商應(yīng)描述測評服務(wù)的技術(shù)方案，包括準備工作、技術(shù)措施、人員安排、時間進度、可能對系統(tǒng)造成的影響等。4、安全測評工作應(yīng)

6、盡量選擇在非業(yè)務(wù)繁忙時段進行，將對被測系統(tǒng)可能帶來的影響減至最小。5、服務(wù)提供商應(yīng)書面承諾能夠積極與瀏陽市人民醫(yī)院協(xié)作，共同完成本項目的測評工作，項目實施過程中出現(xiàn)問題不得互相推諉，雙方應(yīng)主動進行溝通，并及時解決問題，確保項目順利實施。（三）項目管理要求對項目進行科學(xué)嚴格的管理，通過系統(tǒng)計劃、有序組織、科學(xué)指導(dǎo)和有效控制，促進項目全面順利實施，投標(biāo)人必須提供完整的項目管理方案，項目的方案設(shè)計與具體實施應(yīng)滿足以下原則：1、最小影響原則：工

7、作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對網(wǎng)絡(luò)的運行和業(yè)務(wù)的正常運行產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷）；2、標(biāo)準性原則：服務(wù)方案的設(shè)計與實施應(yīng)依據(jù)國家相關(guān)標(biāo)準進行，包括但不限于《GBT209842007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》，符合《信息安全等級保護管理辦法（公通字[2007]43號）》、《計算機信息系統(tǒng)安全保護等級劃分準則（GB178591999）》、《信息系統(tǒng)安全等級保護基本要求（GBT22239

8、2008）》、《信息系統(tǒng)安全等級保護實施指南（GBT250582010）》等國家標(biāo)準；3、規(guī)范性原則：服務(wù)提供商工作中的過程和文檔，應(yīng)具有較好的規(guī)范性，便于項目的跟蹤和控制；4、可控性原則：方法和過程要在雙方認可的范圍之內(nèi)，安全服務(wù)的進度要按照進度表安排實施，保證瀏陽市人民醫(yī)院對于服務(wù)工作的可控性；5、整體性原則：評估內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患；6、保密原則：對過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未

9、經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害采購人的行為，否則瀏陽市人民醫(yī)院有權(quán)追究服務(wù)提供商的責(zé)任。服務(wù)提供商需根據(jù)上述要求，提供項目詳細的項目管理方案，并予以詳細解釋。（四）服務(wù)保障與承諾1、服務(wù)提供商應(yīng)嚴格按照測評人員執(zhí)業(yè)守則，按照國家相關(guān)法規(guī)、規(guī)范、標(biāo)準及制定的測評方案、項目計劃書、實施細則進行測評，在保證質(zhì)量、安全的前提下，確保在項目規(guī)定的期限內(nèi)按期完成。2、服務(wù)提供商應(yīng)協(xié)助、配合瀏陽市人民醫(yī)院與上級監(jiān)管部門、公

10、安機關(guān)的溝通協(xié)調(diào)。在測評過程中和測評完成后，協(xié)助、配合瀏陽市人民醫(yī)院進行相關(guān)的信息系統(tǒng)安全整改，確保已定級系統(tǒng)達到等級保護的相關(guān)要求，并通過上級監(jiān)管部門和公安機關(guān)的審核驗收。3、服務(wù)提供商應(yīng)在項目期內(nèi)向瀏陽市人民醫(yī)院提供724小時電話咨詢服務(wù)，必要時上門服務(wù)。跟蹤信息安全等級保護的最新發(fā)展情況，及時告之瀏陽市人民醫(yī)院，提供相應(yīng)解決方案及建議，協(xié)助其持續(xù)符合信息系統(tǒng)信息安全等級保護工作的要求。4、服務(wù)提供商應(yīng)在項目實施過程中，對瀏陽市人民